- 119件の悪意ある拡張機能が検出を回避
- インストールから数日後に不正コードを実行
- 静的コードレビューだけでは不十分であることが証明
Microsoftは、「積極的な脅威ハンティング」によって「StegoAd」と名付けられたキャンペーンを発見したとして、Edge アドオンストアから119件の悪意ある拡張機能を削除したと発表しました。
今回の対応では、これらの不正行為に関連する90件以上のデベロッパーアカウントも停止されています。
このキャンペーンは少なくとも2021年から活動していたとみられており、悪意ある拡張機能の累計ダウンロード数は260万回に上ると推定されています。
Microsoftによる119件の「StegoAd」悪意ある拡張機能の削除
キャンペーンの規模は非常に広範で、拡張機能はひとつのカテゴリに留まらず多岐にわたっていました。広告ブロッカー、VPN、動画ダウンローダー、翻訳ツール、PDFエクスポーターといったユーティリティツールなど、さまざまな種類の拡張機能が悪意ある実装の隠れ蓑として使われていました。
このキャンペーンの名称は、使用された手法に由来しています。ステガノグラフィーとは、一見無害に見えるファイルの中に悪意あるコードを隠す技術のことです。今回はPNG画像、SVGグラフィック、フォントファイルの中に不正なJavaScriptが埋め込まれており、従来のウイルス対策ツールやWebフィルタリングをかいくぐっていました。
インストール後は検出を避けるために3〜5日間休眠状態を保ち、その後ブラウザの認証情報の窃取、悪意あるWebサイトへのリダイレクト、アフィリエイトリンクの改ざんによる不正収益、追加の悪意あるコードのダウンロード、さらにはC2サーバーとの通信による指示の更新といった悪意ある活動を開始したとMicrosoftは説明しています。
「StegoAdキャンペーンは、ブラウザ拡張機能が依然として強力かつ進化し続ける攻撃対象領域であることを示しています」とMicrosoftは述べており、自社のセキュリティ対策でもこれらの不正な拡張機能を見逃していたことを認めています。
今回のレポートでは、静的コードレビューだけではもはや不十分であるという結論も示されています。拡張機能などのインストール済みソフトウェアは、初回インストールからかなり時間が経った後に悪意あるコードをダウンロードできるためです。
開発者向けの提言としてMicrosoftは、コードを難読化しないことで透明性を確保すること、信頼性を高めるために必要最低限の権限のみを要求すること、なりすましの疑いがある場合は速やかに報告することを推奨しています。
